Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Configは設定しておけばOKじゃないって本当?AWS Config の運用ある...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Yuto Komai Yuto Komai
August 27, 2023
Technology
0
770

AWS Configは設定しておけばOKじゃないって本当?AWS Config の運用あるあるをどう乗りこなしているか

2023/8/26
Security-JAWS【第30回】[Security-JAWS DAYS] ~Day1~
Session12の資料です。

Avatar for Yuto Komai

Yuto Komai

August 27, 2023
Tweet

More Decks by Yuto Komai

See All by Yuto Komai
GDC report in Akatsuki Geek Live#2
Avatar for Yuto Komai yutokomai
1
3k
mercari-GDC2019-stadia-report
Avatar for Yuto Komai yutokomai
2
2.6k
ECS Fargate build on AWS CodeBuild
Avatar for Yuto Komai yutokomai
5
3.9k

Other Decks in Technology

See All in Technology
Codex 5.3 と Opus 4.6 にコーポレートサイトを作らせてみた / Codex 5.3 vs Opus 4.6
Avatar for ama-ch ama_ch
0
180
モダンUIでフルサーバーレスなAIエージェントをAmplifyとCDKでサクッとデプロイしよう
Avatar for みのるん minorun365
4
210
レガシー共有バッチ基盤への挑戦 - SREドリブンなリアーキテクチャリングの取り組み
Avatar for Konishi tatsuhiro tatsukoni
0
220
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
360
CDK対応したAWS DevOps Agentを試そう_20260201
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
1
340
予期せぬコストの急増を障害のように扱う――「コスト版ポストモーテム」の導入とその後の改善
Avatar for Masahiro Yoshizawa muziyoshiz
1
2k
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
Avatar for 高棹大樹 daitak
1
370
FinTech SREのAWSサービス活用/Leveraging AWS Services in FinTech SRE
Avatar for maaaato maaaato
0
130
10Xにおける品質保証活動の全体像と改善 #no_more_wait_for_test
Avatar for nihonbuson nihonbuson
PRO
2
310
登壇駆動学習のすすめ — CfPのネタの見つけ方と書くときに意識していること
Avatar for おおいし bicstone
3
120
Amazon S3 Vectorsを使って資格勉強用AIエージェントを構築してみた
Avatar for usanchuu usanchuu
3
450
【Ubie】AIを活用した広告アセット「爆速」生成事例 | AI_Ops_Community_Vol.2
Avatar for Yoshiki yoshiki_0316
1
110

Featured

See All Featured
Leo the Paperboy
Avatar for Maya Tellez mayatellez
4
1.4k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Claude Code のすすめ
Avatar for schroneko schroneko
67
210k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
117
110k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
180
My Coaching Mixtape
Avatar for mlcsv mlcsv
0
48
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
0
1.1k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
Avatar for Aleyda Solis aleyda
1
1.1k
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
66
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.2k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.9k
Building the Perfect Custom Keyboard
Avatar for Naoto Takai takai
2
690

Transcript

  1. AWS Config 設定しておけ OK! …じゃないって本当? AWS Config 運用あるあるを どう乗りこなしているか

  2. 自己紹介 アカツキゲームス Yuto Komai / 駒井 祐人 e__koma 過去 実績等

    • AWS Summit Online 2020 ◦ 今回 クラウドセキュリティ 話 • AWS Summit Tokyo 2019 ◦ モバイルゲーム ECS 運用 + 大規模負荷テスト 話 • AWS official YouTube channel ◦ ECS スケーリング 簡易的な説明

  3. 話すこと AWS Config 具体的な運用例

  4. 話 前提 • Organizations 配下に AWS アカウントが数十個以上存在し 定期的に増減するような状況を想定 • Config

    社内セキュリティポリシーを守るため 1つ ツール ◦ (脅威検知や脆弱性管理など総合的な仕組みが必要で、 Config 運用しときゃクラウド セキュリティ バッチリ、という話で ないことを事前に補足)

  5. AWS Config と (今回 必須知識) AWS セキュリティ監査を自動化できるサービス 例: • 全世界にパブリックな

    Security Group が作られた • S3 にパブリック読み取りアクセスが許可されている • RDS スナップショットが公開されてしまっている 適切に運用すれ 「誰かが」「知らない間に」 「手動で」「別リージョンで」全世界公開 サーバを立ててしまった。こんなサーバも自動検知できる。

  6. 最高じゃん! … と思いきや?

  7. あるある① 意図した公開サーバも問答無用に NG

  8. 公開サーバ 全て非準拠 (NG) として検知する 意図した公開まで全てルール非準拠 (NG) となってしまう。 柔軟性がないルール 多く、NG 結果を多く残しておくと

    本当に対応すべきリソースかどうか判断が鈍る で対処したい。

  9. 解決策: カスタムルール Lambda 運用 ※ アーキテクチャ 後ほど話します

  10. カスタムルール Lambda 運用 1. 例外登録 個別アカウント 個別 ResourceId を検知対象外にする仕組みを構築

  11. Q. マネージドで実現する方法 ? A. Config 単体で できませんが、 Security Hub と統合することで、

    例外登録に準ずる機能が 最近 (やっと...) 可能に。 ※ 登録できるルール 個数上限やメンバーアカウント Config 見え方など   まだもう一声という印象 あるが、かなり改善した

  12. カスタムルール Lambda 運用 2. カスタムポリシー 実現 社内ポリシーに合わせて Config ルールを作成している △

    Config ルールがあるから、それに準ずる ◯ 社内ポリシー(※1) を整備し、マッチするも Config を利用。   足りない部分 カスタムルールで解決する。(※2) (※1) ISO など業界標準に準拠しつつ自社向けにカスタマイズしたポリシー (※2) awslabs に PR を投げてマージされたことも

  13. カスタムルール Lambda 運用 2. カスタムポリシー 実現 例: セキュリティグループに許可できる IP 数

    N 個以下まで (頼むからやめてくれ 図

  14. カスタムルール Lambda 運用

  15. カスタムルール Lambda 運用 3. 全アカウント一括自動デプロイ • CloudFormation StackSets で全アカウントに一括デプロイ •

    新規 AWS アカウント作成時にも自動的にデプロイされる 詳細 AWS Summit 2020 資料を参考に ( 最近で Config を Organization に一括デプロイする機能もあるが、 StackSets 他 リソースで も利用している で引き続き StackSets を利用している )

  16. あるある② 例 アラート 対応してくれてる ?

  17. クラウドセキュリティ担当 スコープ #マルチクラウド #全アカウント #全リージョン #子会社 加えて Config 以外 アラートもある。日々発生するアラート

    反応できるが、 新しいアラートがどんどん通知されるため、1個1個対応状況を管理してられな い。 あれ...例 アラートって 「反応 してもらえたけど、対応 進んでる ...?」

  18. アラート管理 工夫 • リアルタイム通知 管理者へ自動メンション • 定期サマリ 対応状況 定期まとめ通知 セキュリティ担当

    インシデントレベルが高そうな通知と まとめ通知 みに反応していれ 運用スケール可能に

  19. あるある③ NG 検知 ゴミ

  20. NG 検知がゴミとして残ってしまう AWS アカウントを解約しても90日間 リソースが残り続けてしまう • Config NG 結果を放置して解約すると 集約アカウントに

    消せないNG結果 (ゴミ) が残り続けてしまう • 集約している EventBridge なども飛んでくる • Route53 なども消しておく が吉 アカウント解約時 事前にリソース削除をしましょう

  21. あるある④ 知らない間に Config ルールが増える

  22. あなた 知らない Config 世界 AWS blog を毎日チェックしているみなさん! 残念ながら Config 最新情報

    キャッチアップできておりません

  23. あなた 知らない Config 世界 AWS blog を毎日チェックしているみなさん! 残念ながら Config 最新情報

    キャッチアップできておりません なぜなら、マネージド Config Rule 定期的にしれっと追加されるから 昔 ブログになってたんだけど ...

  24. 最新 Config ルール 取得と管理 最新 Config ルールを自動チェックする仕組みを作り 定期的に導入可否を判断している • チェック済み

    ルール一覧を保持 • チェックしてない Config ルールがあれ 定期通知 • 一覧を更新

  25. そ 他

  26. そ 他、色んなパターン 検知 カスタムルールを充実させる運用が回ると クラウド設定以外 ポリシー検知も捗ります 例 • EDR がサーバ上で動いているか自動検知

    • WordPress 管理画面に IP 制限がかかっているか検知 などなど

  27. 運用を工夫すれ 、アカウントが増えても スケールする仕組みを実現可能です 幸せな CSPM ライフを!!